Nombre

Fecha
Código
Actividad Investigación Seguridad Informática
Materia Ciber-Ataques
Program Ingeniería de Sistemas
a

Los hackers utilizan esta técnica para bloquear sus dispositivos y exigir un rescate a cambio de recuperar el acceso, es un
tipo de malware que siembra el pánico entre quienes lo sufren y que ahora se ha hecho un poco más famoso tras afectar
por primera vez al sistema operativo de Apple, OS X.

El ransomware es una forma de ataque que, literalmente, secuestra información del equipo infectado de un usuario a
cambio de que éste pague una suma de dinero para recibir de nuevo sus datos. Las amenazas en este ramo se han ido
sofisticando y, al parecer, hoy emplean métodos avanzados de encriptación para proteger la información secuestrada.

Hay varios caminos a través de los cuales un equipo puede resultar infectado, pero usualmente el ataque viene
disfrazado de comunicaciones legítimas que le llegan a la persona a través del correo, por ejemplo, en un email
malicioso que se hace pasar por una entidad bancaria o una empresa prestadora de servicios. Algunos ataques, se ha
reportado, han podido aprovecharse de la lista de contactos de una persona para simular ser un mensaje de una
persona conocida.

EL TEMIBLE SECUESTRO DE TUS DATOS

La técnica lleva literalmente décadas usándose, y normalmente consiste en el cifrado del disco duro de la máquina
víctima, lo que provoca que sea imposible acceder a sus servicios y datos a no ser que contemos con la clave que
protege esa información. En muchos casos quienes llevan a cabo los ataques dejan bien patente lo que ha pasado y
cómo proceder en esos casos: una dirección de correo electrónico o ciertas páginas web para contactar con el
cibercriminal e incluso la cantidad que tendremos que abonar para que volvamos a poder "rescatar" todo lo que quedó
bloqueado con el ataque.

Los ataques que secuestran nuestra información han crecido tanto o más que otras formas de malware, y se ha
convertido en una jugosa forma de obtener ingresos por parte de los cibercriminales.

De hecho la amenaza es patente para usuarios finales, pero es mucho más preocupante para empresas que pueden
verse afectadas también por este tipo de ataques que pueden llegar a bloquear la operativa de un producto o servicio.
Los atacantes no roban datos como tales, simplemente los dejan donde estaban pero cifrados.

CÓMO TE LLEGA EL VIRUS

En sus inicios, hace unos cinco años, el virus adoptaba la forma de una notificación de un cuerpo policial que te llegaba
al ingresar a una página o hacer clic en un archivo infectado, el usuario víctima era dirigido a una página web, de
apariencia oficial, en donde le advertían que fotos ilegales de niños habían sido detectadas en su computadora, por lo
que debía pagar una multa.
La emboscada digital estaba tan bien hecha que no solo la página simulaba ser del FBI, sino que advertía, a través de
continuas ventanas de diálogo, que mientras más se tardara en pagar la penalización, más se tendría que pagar.

Hoy en día, como la mayoría de los virus de las computadoras, ransomware llega disfrazado como un email fraudulento
o spam, o una falsa actualización de un software ya instalado, en los que hay un link o archivo anexo, al hacer click el
virus se descarga y encripta todos los archivos, de modo que no pueden ser utilizados.

Una vez que la computadora queda bloqueada, aparece una ventana pidiendo un rescate por los archivos, que
usualmente debe pagarse en bitcoins, dado que es más difícil de monitorear el destino final del dinero. El pago por lo
general es de uno o dos bitcoins, equivalentes a unos US$500.

Los ataques no solo se concentran en computadoras, sino en teléfonos inteligentes, a los cuales llega oculto en
aplicaciones, dijo además Gert-Jan Schenk, vicepresidente de la empresa de seguridad en internet Lookout. "En la
mayoría de los casos, el virus llega al bajar una aplicación que es presentada como muy popular, por lo que hay grandes
probabilidades que le hagas click, y termines descargando el virus", explica.

CÓMO TE PROTEGES

Algunas veces es solo una amenaza, pero por lo general los archivos quedan realmente encriptados, la única manera de
recuperar tus documentos sin pagar el rescate es acudir a tus copias de respaldo.

"Tú puedes tomar la decisión de pagar, pero esto es como caer en la trampa de un chantajista. Si pagas una vez,
seguirás pagando. No sabes si después de pagar van a eliminar el virus y te devolverán tus documentos,
advierte. Recomendamos pagar como la última opción",

1. Hacer backup periódico de los datos, así no será un problema perder el documento o la información
secuestrada. Es importante recordar que Cryptolocker, amenaza particular del tipo ransomware, también cifra
archivos en unidades asignadas. Esto incluye todos los discos externos como las memorias USB, los espacios de
almacenamiento en la red o en la nube para los que haya una letra de unidad asignada. Por lo tanto, es
fundamental llevar un régimen periódico en un disco externo o servicio de backup, que no tenga asignada
ninguna letra de unidad o que se pueda desconectar mientras no está haciendo el backup.

2. Mostrar las extensiones ocultas de los archivos: es muy común que Cryptolocker se presente en un archivo con
doble extensión, como por ejemplo “.PDF.EXE”. Por lo tanto, si se desactiva la función para ocultar las
extensiones de los tipos de archivos, será muy sencillo detectar los sospechosos.

3. Filtrar los archivos .EXE del correo electrónico: si el sistema cuenta con una herramienta que permite filtrar
adjuntos por extensión, resulta útil configurarlo para rechazar los correos que tengan archivos “.EXE” o con
doble extensión.

4. Usar el kit para la prevención de Cryptolocker: ésta es una herramienta que automatiza la creación de una
política de grupo para deshabilitar los archivos que se ejecutan desde las carpetas App Data y Local App Data.
Además, deshabilita los ejecutables que se abren desde el directorio Temp de diversas utilidades para comprimir
archivos.
 5. Deshabilitar RDP: El malware Cryptolocker/Filecoder accede a las máquinas mediante el Protocolo de escritorio
remoto (RDP, por sus siglas en inglés), una utilidad de Windows que permite a terceros obtener acceso al equipo
de escritorio en forma remota. Si no se necesita usar el protocolo RDP, es conveniente deshabilitarlo para
proteger la máquina de Filecoder y otros exploits RDP.

6. Mantener el software del equipo siempre actualizados: esto reduce significativamente la posibilidad de ser una
víctima del ransomware así como también de otro tipo de amenazas.

7. Usar un paquete de seguridad confiable: tener un software antimalware y un firewall que ayuden a identificar
amenazas o conductas sospechosas. Los cibercriminales con frecuencia lanzan nuevas variantes para evadir la
detección, por lo que es importante contar con ambas capas de protección.

8. Desconectar el Wi-Fi o quitar el cable de red de inmediato: si se ejecuta un archivo que podría ser un
ransomware, si aún no apareció la pantalla característica de rescate en el equipo, se puede detener la
comunicación con el servidor antes de que termine de cifrar los archivos desconectando inmediatamente el
equipo de la red.

9. Usar la función de restaurar sistema para volver a un estado sin infecciones: si la funcionalidad “restaurar
sistema” está habilitada en el equipo con Windows, es posible volver a un estado sin infecciones. Sin embargo,
cabe aclarar que las últimas versiones de Cryptolocker pueden incluir la capacidad de borrar archivos de
respaldo de la restauración, es decir que ya no estarán allí cuando se intente este procedimiento.

Hay otras medidas que podemos tomar como el llamado Cryptolocker Prevention Kit que genera una serie de directivas
de grupo (group policies) y que evitan que el ransomware pueda instalarse en sus directorios habituales. Cuidado con el
uso de la red Tor y la deep web -aquí los ataques son más frecuentes- y también con las carpetas compartidas de red, a
las que deberíamos dar permisos de acceso solo por parte del administrador del sistema salvo cuando necesitemos
acceso de lectura y escritura, que deberemos activar y desactivar tras esas operaciones.

CÓMO EVITAR QUE TE ROBEN EN LA AVALANCHA DE VIRUS QUE HA LLEGADO A LOS MÓVILES

Al respecto, el profesor y experto en seguridad cibernética Alan Woodward, indica que el hecho de pagar te hace
vulnerable a otros tipos de crímenes. Tan pronto pagas pasas a formar parte de la lista de tontos que cayeron, por lo que
probablemente seas contactado nuevamente", resalta Woodward y te conviertes en una presa fácil.

Como recomendación básica a tener en cuenta, Schenk aconseja a los usuarios "ser muy cuidadosos con las aplicaciones
que instalan en sus computadoras y teléfonos. Revisen de dónde vienen, lean las opiniones que sobre las aplicaciones se
emiten en sitios como Google Play, y eviten las que provengan de fuentes no confiables".

La policía de Tewsbury, en Estados Unidos, admitió haber pagado rescate cuando a finales del año pasado su servidor
sufrió un ataque y quedó bloqueado. "Nadie quiere negociar con terroristas, Nadie les quiere pagar", dijo en esa
oportunidad el jefe del cuerpo policial, Timothy Sheehan.
"Hicimos todo lo que pudimos para recuperar los documentos. Fue un momento de gran impacto para nosotros, porque
tuvimos la sensación de perder el control de todo. Pagar el rescate en bitcoins fue nuestra última acción", recuerda
Sheehan. En este sentido, ransomware es muy lucrativo para los criminales.

LA MALICIOSA APP DE PORNOGRAFÍA QUE EXTORSIONA AL USUARIO DE ANDROID

La mayoría de las victimas prefiere pagar el rescate, antes que enfrentar falsas acusaciones vinculadas a temas
usualmente de pornografía o, como en el caso del departamento de policía, porque la víctima sencillamente cae en la
desesperación debido a la urgencia de recuperar sus documentos.

El problema se ha hecho tan frecuente que el profesor Woodward afirma que ya muchas compañías han comenzado a
abrir sus cuentas en bitocins, en caso de verse en una situación complicada por el virus.

"Recomiendo que nadie pague. La única forma de solucionar este tipo de problemas es actualizando tus respaldos
periódicamente y contando con un buen antivirus que prevenga estos ataques", puntualiza el académico.

EL CIFRADO Y BITCOINS COMO BASES DE LOS ATAQUES

Para "liberar a los rehenes" necesitaremos realizar un pago electrónico que habitualmente se hace con un sistema que
es perfecto para este ámbito: los bitcoins llegan como el medio preferido por los ciberatacantes, ya que este tipo de
transacciones no son revocables y es muy complicado saber quién llega a recibir ese dinero en el otro extremo.

Se trata además de ataques dirigidos de forma específica a un particular o a una entidad, y el problema es que la
popularidad de estos ataques ha hecho que el ransomware pueda ser aprovechado prácticamente por cualquiera con
cierta base técnica, ya que los desarrolladores de malware han desarrollado herramientas que precisamente facilitan los
intentos para introducir ransomware en cualquier máquina.

Existen casos ya famosos de ransomware: un reciente artículo en el blog de Sophos nos recordaba que sistemas temibles
como Teslacrypt, TorrentLocker, Los Pollos Hermanos (no es broma) o el tristemente célebre Cryptowall (actualmente
en la que muchos consideran como la "versión 4.0") han hecho que los ingresos para los cibercriminales sean
especialmente cuantiosos año tras año.

En el caso de Cryptowall, que es análogo a otros sistemas de este tipo, se instalan pequeños ficheros en diversas
carpetas clave de nuestro sistema, el directorio de datos de aplicaciones, el de inicio e incluso algún directorio con un
nombre aleatorio, que simplemente se conectan a un servidor remoto controlado por el cibercriminal. En esa conexión
se obtiene la clave que cifra el contenido de nuestro disco duro, y por ejemplo en el caso de Cryptowall 4 lo que se hace
es centrarse en el directorio de datos de aplicaciones y en la creación de una entrada de registro para cargarse en cada
reinicio o inicio de sesión.

A partir de ahí empiezan las tareas de cifrado, que en el caso de Cryptowall 4 son especialmente perjudiciales: se suele
utilizar el algoritmo de cifrado AES y cada fichero tiene un cifrado distinto que hace que incluso dos ficheros idénticos
parezcan diferentes si uno atiende al contenido cifrado.

En el caso de Cryptowall 4 se cifran hasta los nombres de los ficheros para hacernos la vida aún más complicada, y
aunque cada fichero pueda tener una clave de cifrado distinta, todos ellos se pueden descifrar con la misma clave
maestra, una que lógicamente está en posesión de los cibercriminales y que es la que obtendremos si pagamos ese
rescate.
GRUPOS RELACIONADOS A ESTE TIPO DE ATAQUES

FANCY BEAR (TAMBIÉN CONOCIDO COMO APT28, PAWN STORM, SOFACY GROUP, SEDNIT Y STRONTIUM)

Es un grupo de espionaje cibernético. La firma de seguridad cibernética CrowdStrike ha dicho con un nivel de confianza
medio que está asociado con la agencia de inteligencia militar rusa GRU. Las empresas de seguridad SecureWorks,
ThreatConnect y Fireeye's Mandiant también han dicho que el grupo está patrocinado por el gobierno ruso.1 2

Operativo probablemente desde mediados de la década de 2000, los métodos de lujo del oso son consistentes con las
capacidades de los actores del Estado-nación. Se sabe que el grupo de la amenaza se dirige a las organizaciones
gubernamentales, militares y de seguridad, especialmente a los estados transcaucásicos y alineados con la OTAN. Se
cree que Fancy Bear es responsable de ataques cibernéticos contra el parlamento alemán, la televisión francesa
TV5Monde, la Casa Blanca, la OTAN, el Comité Nacional Demócrata y la Organización para la Seguridad y la Cooperación
en Europa.

El comportamiento de Fancy Bear ha sido clasificado como una amenaza persistente avanzada. Emplean
vulnerabilidades de día cero y usan el phishing y el malware para comprometer objetivos.

XMR SQUAD

Un grupo llamado XMR Squad ha pasado toda la semana pasada lanzando ataques DDoS contra empresas alemanas y
luego contactando con las mismas compañías para informarles que tenían que pagar 250 € por probar sus sistemas de
protección DDoS. La empresa alemana de protección DDoS Link11 informó de ataques contra DHL, Hermes, AldiTalk,
Freenet, Snipes.com, la Oficina Estatal de Investigación de Baja Sajonia y el sitio web del estado de Renania del Norte-
Westfalia.

Los ataques DDoS eran poderosos y bien dirigidos. El ataque contra DHL Alemania fue particularmente efectivo al cerrar
el portal de negocios de la empresa y todas las API, lo que llevó a eBay a emitir una alerta sobre posibles problemas con
los paquetes enviados a través de DHL.

El grupo envió correos electrónicos a todas las empresas a las que apuntaba. En los mensajes de correo electrónico, no
pidieron un rescate para detener los ataques, sino una tarifa por haber llevado a cabo lo que llamaron una prueba de
protección DDoS.

Normalmente, estos tipos de grupos lanzan ataques DDoS y luego envían correos electrónicos a sus víctimas solicitando
pagos para detener los ataques. Los correos electrónicos de XMR Squad parecían facturas de pruebas DDoS no
solicitadas.

Además, la nota de rescate no incluía instrucciones de pago, lo cual es raro, por decir lo menos. Los rescates de DDoS
generalmente se manejan en Bitcoin u otra criptoconversión anónima. Era extraño ver que el grupo pedía el pago en
Euros, ya que el nombre del grupo incluía el término XMR, el nombre corto de Monero, una criptoconversión anónima.
El grupo desaparece después de una semana.
Aunque es casi imposible determinar si una nota de rescate proviene de una persona competente, grupo hacker
experimentado o una unidad de aficionados. Si bien estos grupos falsos envían correos electrónicos casi idénticos a las
cartas reales de rescate, hay varios Indicadores para distinguir

 Los grupos falsos a menudo solicitan una cantidad diferente de dinero.

 Los grupos "reales" demuestran su competencia; Los grupos falsos excluyen el ataque "demo".
 Estos grupos no tienen cuentas oficiales, sitios web ni listas de objetivos.
 Cuando los hackers lanzan un verdadero ataque de rescate, normalmente atacan a muchas o una misma
industria.

CONCLUSIÓN

Una problemática cada vez más sofisticada que preocupa a especialistas, empresas y gobiernos, y que promete
profundizarse en el futuro cercano, pagar o perder los datos: esa parece ser la cuestión detrás de los crecientes casos de
ransomware, como se conoce al tipo de malware que encripta la información de los dispositivos infectados y los "libera"
tras el pago de un "rescate", pero este no solo se presenta en equipos de escritorio, portátiles, ya también se presentan
casos en ya están apareciendo los primeros casos orientados a dispositivos Android y iPhone", especialistas en seguridad
informática resaltaron la simplicidad del contagio y la dificultad de abordar este tipo de ataques, y coincidieron en la
solución más simple: pagar o resignarse a perder los datos.

http://www.bbc.com/mundo/noticias/2015/12/151215_tecnologia_virus_ransomware_crece_egn

https://www.microsoft.com/en-us/security/portal/mmpc/shared/ransomware.aspx

https://www.avast.com/es-es/c-ransomware

https://norfipc.com/virus/el-nuevo-virus-ransomware-lo-que-debemos-saber.php

http://www.20minutos.es/noticia/2965207/0/viros-ransomware-cibercriminales-habla-rusa/

http://www.telam.com.ar/notas/201608/158402-ramsomware-virus-informatica-malware-incripta-bitcoins-
ciberseguridad-pc-rescates.html

https://www.bancosantander.es/es/particulares/banca-online/seguridad-online/aprende-seguridad-online/que-es-
virus-ransomware